Der Bundesrat hat beschlossen, die Protokollierungspflicht für Bundesorgane nach Art. 4 DSV auf den 1. Dezember 2025 einzuschränken:
- Medienmitteilung
- Änderung
- Erläuterungen
Derzeit gilt diese Pflicht für alle automatisierten Bearbeitungen (Abs. 2). Es habe sich in der Praxis aber gezeigt, so die Medienmitteilung des Bundesrats, dass die Risiken der Bearbeitungen die Kosten der Protokollierung nicht aufwiegen. Deshalb hat der Bundesrat entschieden, auch bei der Protokollierungspflicht für Bundesorgane dem risikobasierten Ansatz des Datenschutzrechts zu folgen. Nach der Änderung der DSV soll folgende Regelung gelten (jeweils beschränkt auf automatisierte Bearbeitungen):
- besonders schützenswerte Personendaten; Profiling; Bearbeitung im Anwendungsbereich der Schengen-RL: Protokollierung
- sonstige Personendaten: Risikobeurteilung durchführen, und zwar schriftlich (und gemäss der Erläuterungen vorzugsweise im Rahmen des Sicherheitsverfahrens nach Art. 16 ff. ISG). Auf Anfrage sind dem EDÖB “Resultat und Inhalt” der Prüfung mitzuteilen. Das Ergebnis der Prüfung bestimmt dann sowohl Gegenstand als auch Umfang der Protokollierung
Anzupassen war daher auch die Übergangsbestimmung zur Protokollierung in Art. 46 DSV:
- Bei allen automatisierten Bearbeitungen normaler Personendaten, die schon vor dem 1. Dezember 2025 geplant oder begonnen wurden, ist die Risikoprüfung bis Ende 2026 durchzuführen.
- Sollte eine Protokollierung erforderlich sein, muss diese bis am 31. Dezember 2029 implementiert werden.
- Bei Bearbeitungen mit besonderen Risiken gilt keine Übergangsbestimmung.
Zudem stellt der Bundesrat durch zwei weitere Änderungen klar, dass das “Lesen” bei der Protokollierung das “Zugreifen auf die Daten” meint. Weitere Änderungen betreffen Kosmetik und die Verordnung über militärische und andere Informationssysteme im VBS.
Ein Deltaview der Änderungen in der DSV ist hier abrufbar.